文 静

（广西经济信息中心，广西 南宁 530022）

电子政务外网是与电子政务内网物理隔离、与互联网逻辑隔离的统一的电子政务业务专网，主要用于运行政务部门面向社会的专业性服务和不需在内网上运行的业务，为承载的业务系统提供网络、数据、安全等支撑服务，为政府部门和社会公众提供信息共享、信息交换等服务[1]。随着政务信息化网络建设的全面推进，各地政务外网网络逐步建设成为覆盖省、市、县、乡镇四级的多级网络。

政务外网网络规模庞大、机房位置分散、设备种类繁杂，都给网络管理人员带来设备管理上的难度。传统的设备现场管理方式，效率低且成本高。目前，管理人员大多选择通过使用超级终端、Telnet或设备自带的网管软件进行设备远程管理的方式。但是这样的管理方式存在一些问题，主要表现在：（1）管理人员通过Telnet或者其他设备自带的网管软件远程访问设备，必须是在网络通畅和设备正常时才能进行，受网络状况影响较大。（2）使用超级终端的方式访问设备，必须是实地连接设备，而各级网络机房分散，无法保证发生故障时管理人员能第一时间出现在现场处理。如何为政务外网多级网络提供高效而便捷的设备远程集中管理成为网络建设中亟需解决的问题。

本文设计的网络设备远程管理系统，通过搭建一套集中控管平台，将全网各级机房的所有网络串口设备进行集中控制和管理。该系统能在不影响设备运行的原则上，通过带外管理网络传输方式，实现对机房内所有设备的带外管理；在业务网络中断的情况下，还能通过3G带外管理网络对设备进行操作和管理。

1 系统组成

网络设备远程管理系统由中心机房的集中认证管理平台、审计系统和各级机房的串口设备管理模块、远程电源控制管理模块、3G无线MODEM组成。系统的逻辑结构如图1所示。

中心机房内部署的集中认证管理平台用于将所有的网络串口管理设备、电源管理模块等全部集中到一个平台控管和进行详细的权限分配和日志记录。审计系统用于查看系统的各种信息和记录操作信息，包括系统配置的各种功能按钮，关闭和重启系统按钮，实时硬件信息如 CPU使用率、内存使用比例和存储空间情况等。各级机房部署的串口设备管理模块用于各级机房的路由器、交换机、防火墙等网络串口设备集中监控管理。远程电源控制管理模块用于设备的远程开关机和重启，远程监测设备电量等。3G无线MODEM用于主要业务网络出现故障时，通过3G网络对设备进行带外远程管理。

2 系统功能及工作流程

2.1 功能结构

从功能上划分，网络设备远程管理系统主要包括集中认证审计管理、多种网络接入方式远程管理和设备管理三部分。系统的功能结构如图2所示。

图2 系统功能结构

集中认证审计管理提供集中认证、权限分配、运维记录和操作记录的功能，通过部署认证审计管理服务器和软件实现。集中认证审计管理服务器存储相关设备配置和用户等信息，可以基于web浏览器，使管理人员能远程访问、管理、监视和控制目标设备。

远程管理支持多种网络接入方式，包括以太网和各种3G网络。业务以太网网络中断的时候，可以通过运营商的3G网络对各级机房内的网络设备进行带外管理和维护。

设备管理提供串口设备控制口的集中管理和远程电源管理的功能，通过在各级机房内部署一个内含串口设备管理模块和远程电源控制管理模块的集中管理设备来实现。集中管理设备把机房内网络设备的 Console端口集中起来，利用管理设备自身提供的网络端口连接到以太网或互联网，形成一个独立于业务网络之外的专用管理网络。管理人员可以在不占用业务传输网络带宽的情况下通过 Console端口对网络设备进行管理或维护。同时，集中管理设备把机房内网络设备的电源集中起来，实现供电电源统一分配。管理人员无需到现场进行干预和设置，可以通过向机房内各网络设备的Console端口上发送指定信号，重新启动设备。电流监控功能有助于保持电源的安全，管理人员可以设置阀值，一旦电流超过上限阈值或低于下限阈值时，设备会发出告警声。

2.2 工作流程

网络设备远程管理系统工作流程如图 3所示，管理人员在整个访问设备的过程中所有数据都采用加密算法，系统能监控、管理和审核任何远程接入的访问。

3 系统特点

在政务外网网络中部署网络设备远程管理系统，能实现对政务外网的各级机房内所有网络设备的远程控制和管理。管理人员只需在设备硬件故障的情况下进入机房处理，其余日常运行维护和管理都可以远程解决，大大提高了机房设备的物理安全性，改善机房设备运行环境，减少安全隐患和故障发生几率。当各级机房的网络设备发生故障时，管理人员可以第一时间远程通过网络设备的串口进行远程操作和处理，能减少实地处理设备故障所花费在路途上的时间，极大地提高了管理人员的工作效率，有效地保证网络的稳定性。

系统的安全保护措施包括 4个方面。（1）采用集中安全认证管理：所有管理人员操作和控制网络设备，都需要通过集中认证系统进行身份和权限认证，解决管理人员身份的信任保障问题。同时通过用户身份验证软件存储网络拓扑结构和设备相关信息，在设备连接期间执行第三方身份验证，确保控制管理的安全性。（2）行为审计：系统可采用专门设计的嵌入式审计硬件平台，确保安全可靠，防止病毒侵扰。对机房所有网络设备的远程操作进行记录，出现设备故障或安全事件时可以对故障发生前的操作行为进行有效追踪和回放，追溯恶意操作行为，确保证据的留存和问题的快速解决。（3）授权管理：系统对各种权限进行划分，包括针对不同级别管理人员的分组权限管理，或是每台网络设备的每一级操作权限管理。依托授权管理服务，避免非授权管理人员对设备的非法访问和控制，确保只有具有控制权限的管理人员才能访问和控制远程设备。（4）信息加密：系统传输数据可采用128位DES和128位SSL加密算法，监控、管理和审核任何远程接入的访问，确保信息在网络传输过程中处于密文状态。管理人员主控屏幕的信号传输采用差异传输，仅传递变化部分，即使被攻破截取信号，也无法还原整个屏幕的信息，既能减少数据传输量又能确保访问安全性。

4 结束语

网络设备远程管理系统是政务外网网络建设的重要组成部分，是有效保障网络正常运行，实现安全管理和提高工作效率的重要途径。网络设备远程管理系统的建设，解决了政务外网的各级机房网络设备远程管理控制中要求的安全、可控、可管和可溯，为设备管理提供了一个安全、可靠的平台。

[1] 吴亚非.电子政务外网安全建设中的问题与对策[J].信息技术与标准化,2005.06:7-9.